Как хорошенько законапатить 8-ой порт (ICMP)?

Автор: t-rx_1 Дата: 14.07.2003 21:45 Включён файерволл с высоким уровнем безопасности, установки - по
умолчанию, из интернета пингуется (виден, что открыт) порт №8 ICMP,
как закрыть и сделать так, чтобы из интернета не было видно ни саму
машину, ни ос на ней установленную, ни версию и тип браузера (если это возможно)?

Я спрашиваю, не потому, что лениво ман читать, а потому, что ламер и пока разберусь - очень много времени пройдёт, а работаю под лин,
машина сутками висит в сети (есть некий стрём).

Заранее благодарен.
Re: Как хорошенько законапатить 8-ой порт (ICMP)? 14.07.2003 23:10Woodoo t-rx_1 писал(а):

> как закрыть и сделать так, чтобы из интернета не было видно
> ни саму
> машину, ни ос на ней установленную,

---
$ man iptables
---

ни версию и тип браузера
> (если это возможно)?

Это как? Есть браузеры, представляющиеся как другие.
Работа в браузере - твоя инициатива, а не субъекта снаружи.

> Я спрашиваю, не потому, что лениво ман читать, а потому, что
> ламер и пока разберусь - очень много времени пройдёт, а работаю
> под лин,
> машина сутками висит в сети (есть некий стрём).

Надеюсь, у тебя 1 машина, а не "локалка". Про способ выхода и сетевой интерфейс остается телепатить. )

---
$ service iptables start
$ iptables -F
$ iptables -P INPUT DROP
$ iptables -A INPUT -i lo -j ACCEPT
$ iptables -A INPUT -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$ service iptables save
---

Сервис iptables отметить загружемым с помощью ntsysv из консоли.
Все это выполняется, разумеется, с правами root.
Re: Как хорошенько законапатить 8-ой порт (ICMP)? 15.07.2003 08:45Vladimir Dyakov Чтобы понять, как сокрыть от хакера операционку, читайте доку на nmap: man nmap, а также на официальном сайте есть море информации по нему. Вообще, обычно это вещь достаточно сложная - враться про себя -, соответственно, почти бессмысленная на клиентской машине. Вам достаточно правильно настроить фаервол (iptables).
Re: Как хорошенько законапатить 8-ой порт (ICMP)? 15.07.2003 14:55МихаилZ Вот вам мои цепочки c прозрачным прокси
Ящик закрыт из инета. пинги запрещены
[forum.asplinux.ru]
Re: Как хорошенько законапатить 8-ой порт (ICMP)? 17.07.2003 22:58t-rx_1 to ALL

Спасибо за поддержку, разобрался.

С уважением, t-rx_1
Re: Как хорошенько законапатить 8-ой порт (ICMP)? 19.07.2003 12:54SergANT Если ты хочешь что бы твоя машина была в сети но ... из вне её небыло видно то ... можно зделать чтобы она не пинговалась . и порты бали зактыто.
Для этого: (пример я ipchains)

в файл /etc/sysconfig/ipchains добовляем следующее

*********************************
:input ACCPET
:forward DENY
:-0utput ACCEPT
#*********************** ACCEPT for localhost *********
-A input -s 172.0.0.0/255.255.255.0 -p 1 -i lo -j ACCEPT
-A input -s 172.0.0.0/255.255.255.0 -p 6 -i lo -j ACCEPT
-A input -s 172.0.0.0/255.255.255.0 -p 17 -i lo -j ACCEPT
#*********************** ACCEPT for localhost *********
#*********************** DENY for ALL *********
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p 6 -j DENY -l
-A input -s 0.0.0.0/0.0.0.0 -p 0.0.0.0/0.0.0.0 17 -j DENY -l
#*********************** DENY for ALL *********
вот и все Фареволлинг отстроен ....
теперь его запускаем в консоле /etc/init.d/ipchains start

затем отключам ICMP echo для этого добавляем в файл /etc/sysctr.conf

блин не помну .... не короче строчка вроде токая должна быть
kernel.ipv4.echo_ignore_all=1

затем в консоле пишем /etc/init.d/network restrat
...

и все

Если будут вопросы пиши на e - mail я по форумам редно залазию Улыбка

e - mail : sergant@hotbox.tu
Re: Как хорошенько законапатить 8-ой порт (ICMP)? 19.07.2003 13:12absent Не слушай его - он тебе каку советует.
Ежели ты и в самом деле хочешь построить хороший firewall - необходимо понимать, как все это работает - как пакеты устроены,
чего протоколы делают и как работают - я бы посоветовал Стивенса
почитать, хотя бы первый том.

Да, general rule - по неизвестной мне причине линукс{ы,оиды}
стыдливо умалчивают это дело:
--
People often think that having a firewall between your internal network and the ``Big Bad Internet'' will solve all your security problems. It may help, but a poorly setup firewall system is more of a security risk than not having one at all. A firewall can add another layer of security to your systems, but it cannot stop a really determined cracker from penetrating your internal network. If you let internal security lapse because you believe your firewall to be impenetrable, you have just made the crackers job that much easier.
--
(FreeBSD habdbook)

Чистая правда. Надо _понимать_ что делаешь, тогда все получится.

PS. Я б не советовал ICMP фильтровать. Ежели в самом деле надо - все равно надо понимать, что делаешь. Таки очень много на ICMP
завязано, не только пинги. Запросто можешь "достичь" ситуевины,
когда у тебя коннект на remote host будет открываться без проблем,
а вот пакеты ходить не будут.
RSS-материал